Mimic
警惕程度 ★★★
影响平台: Windows
病毒执行体描述
安全研究人员发现了一种新的勒索病毒,他们将其命名为Mimic,它利用Windows“Everything”文件搜索工具的api来查找加密文件。
网络安全公司趋势科技的研究人员于2022年6月发现了这种恶意软件,似乎主要针对说英语和俄语的用户。
Mimic攻击
Mimic勒索软件攻击开始于受害者收到一个可执行文件,可能是通过电子邮件,提取目标系统上的四个文件,包括主要有效载荷、辅助文件和禁用Windows Defender的工具。
Mimic是一种通用的勒索软件,它支持命令行参数来缩小文件目标,同时它还可以利用多个处理器线程来加速数据加密过程。
新的勒索病毒家族具有以下几种功能:
收集系统信息
通过RUN键创建持久性
绕过用户帐户控制(UAC)
禁用Windows Defender
禁用Windows telemetry
启动防停机措施
激活反杀伤措施
卸载虚拟驱动器
终止流程和服务
禁用睡眠模式并关闭系统
删除指标
防止系统恢复
终止进程和服务的目的是禁用保护措施,释放数据库文件等重要数据,使其可用于加密。
滥用Everything
“Everything”是由Voidtools开发的一个流行的Windows文件名搜索引擎的名称。该实用程序轻便快速,使用最少的系统资源,并支持实时更新。
Mimic勒索软件使用Everything的搜索功能,在感染阶段删除' Everything32.dll ',以查询受感染系统中的特定文件名和扩展名。
Everything可以帮助Mimic定位对加密有效的文件,同时避免在锁定时导致系统无法引导的系统文件。
由Mimic加密的文件将获得“.QUIETPLACE”扩展。赎金纸条也会被创建,告知攻击者的要求,以及如何通过支付比特币赎金来恢复数据。
Mimic是一种尚未得到验证的新类型,但使用Conti构建器和Everything API证明它的作者是称职的软件开发人员,他们清楚地了解如何实现他们的目标。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Typhon Reborn
警惕程度 ★★★
影响平台:Windows
2022年8月初,Cyble研究实验室发现了一个新的加密货币挖掘者/窃贼,恶意软件作者将其命名为Typhon stealer。此后不久,他们发布了一个名为“Typhon Reborn”的更新版本。这两个版本都能够窃取加密钱包,监控敏感应用程序的按键,并规避防病毒产品。
这个新版本增加了反分析技术和更多的恶意功能。威胁行为者还改进了他们的偷窃和文件抓取功能。
Typhon Stealer背后的威胁行动者通过一个地下网站(如下图所示)宣传他们的作品,同时通过他们现有的Telegram渠道提供开发和发布更新。
最初版本的Typhon Stealer被更新并以“Typhon Reborn”的新名称发布。这个新版本增加了反分析技术,并进行了修改,以改进盗贼和文件抓取功能。
下图是最新产品的截图,列出在一个私有Telegram频道中。
在他们的Telegram频道中,恶意软件作者表示,这个窃取程序的当前价格是终身订阅100美元,如下图所示。他们还声称,最终压缩的台风重生的有效载荷大小已经减少到2.3 MB左右,这取决于偷窃者的构建配置。
在Telegram帖子中,我们看到作者添加了多个新功能,并禁用了一些旧功能(如键盘记录器、快船采矿器等)。通过查看Typhon 1.2和最新的Reborn版本中的代码块,可以看到这些差异。下图显示了最新版本中块列表和CryptoApps的模块。
Typhon Reborn发布了多个新功能和可配置选项。这些新功能包括屏蔽列出的用户名和国家,新的消息客户端和谷歌Chrome和Microsoft Edge的加密扩展窃取器。作者还删除了一些现有的功能,包括键盘记录功能以及剪贴板窃取和加密挖掘功能。
在动态分析平台中,键盘记录和加密挖掘代码通常很容易被检测到。我们推测,删除这些功能是为了降低反病毒检测的机会。作者在发布说明中表示,被删除的功能将在未来移动到他们自己的项目中。
一旦触发了Typhon Reborn的所有新的反分析检查,就运行巧妙命名为MeltSelf的方法,如下图所示。此方法杀死威胁进程并从磁盘中删除自身。
Typhon Reborn的新反分析技术包括:
检查调试参数
检测虚拟机
检查调试器
检查物理磁盘的大小
检查已知的分析过程(块列表)
检查众所周知的沙箱用户名
检查受害国
Typhon Reborn还会检查启动盗贼的命令行参数。如果命令行参数包含——debug关键字,则窃取器将使用“MeltSelf”,如下图所示。
虽然磁盘大小检查通常不是新的逃避,但它是添加到Typhon Reborn的新功能(如图7所示)。它检查磁盘空间是否符合操作系统的特定大小。如果当前磁盘在Windows版本7和10中低于30gb,窃取者会再次运行“MeltSelf”。
Typhon Reborn包含了一个更大的潜在分析过程清单。包含的过程名称都是众所周知的分析工具,如果检测到,Typhon Reborn将“MeltSelf”
Typhon Reborn还在反分析技术中添加了用户名检查,如图8所示。下面列出的用户名已知被用于各种公共和私有沙箱中执行恶意软件。如果恶意软件在以下任一用户名下执行,恶意软件将调用“MeltSelf”。
Typhon Reborn的新的受害者国家代码检查使攻击者能够配置他们不希望在其上执行的机器的位置。在偷窃者的执行过程中,位置码检查依赖于第三方服务ipinfo[.]json来确定受害者的物理位置。如果该服务不可用,则使用受害者的时区代码来确定原籍国。如果受害者的机器位于独联体国家之一,盗机者将停止执行,如下图所示。
这个软件的前一个版本支持偷窃加密货币钱包文件,但Typhon Reborn已经扩展了这一功能,专门针对谷歌Chrome和Microsoft Edge加密货币应用程序浏览器扩展。
Typhon Reborn针对的扩展包括币安、Bitapp、Coin98等。此外,他们还专门针对Microsoft Edge的网页浏览器扩展Yoroi、Metamask和Rabet钱包。
Typhon Reborn现在可以收集更多的受害者数据,包括:
机用户名
操作系统信息
使用防病毒软件
无线网信息
数据网接口
语言
下面是被抓取并发送到恶意软件作者的Telegram频道的数据截图。
Typhon Reborn还收集扩展的Wi-Fi信息。大多数数据是相当无害的,如语言、计算机名、操作系统和防病毒(如果存在的话)。然而,这个版本的Typhon Reborn从受害者的主机中提取所有无线网络密码,并将其写入Wifi密码.txt文件。
Typhon Stealer用于数据泄露的技术与前一个版本相比没有变化。然而,我们包含了下面的截图来说明恶意软件作者是如何利用Telegram的API和基础设施来窃取所有被提丰重生窃取的数据。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
1、假冒亚马逊类钓鱼网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:骗取用户邮箱账号及密码信息。
2、假冒PDF类钓鱼网:
http://www.capelini.com.br/adobeCom/inc/
危害:骗取用户账号及密码信息。
3、假冒Paypal类钓鱼网:
http://www.skblibrary.org.in/cottonlibrary/a
危害:骗取用户账号及密码信息。
4、假冒腾讯游戏类钓鱼网站:
http://www.dnf233.com/
危害:骗取用户信用卡号及密码信息。
5、假冒Gmail类钓鱼网站
http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
危害:骗取用户邮箱账号及密码信息。
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供